Border Gateway Protocol: la più grande vulnerabilità della rete di tutti?

Autore: Robert Simon
Data Della Creazione: 24 Giugno 2021
Data Di Aggiornamento: 24 Giugno 2024
Anonim
Border Gateway Protocol: la più grande vulnerabilità della rete di tutti? - Tecnologia
Border Gateway Protocol: la più grande vulnerabilità della rete di tutti? - Tecnologia

Contenuto


Porta via:

Quando è stato sviluppato BGP, la sicurezza della rete non era un problema. Ecco perché il problema con BGP è anche il suo più grande vantaggio: la sua semplicità.

In termini di vulnerabilità della sicurezza, molto è stato fatto di attacchi buffer overflow, attacchi denial of service distribuiti e intrusioni Wi-Fi. Mentre questi tipi di attacchi hanno attirato una grande quantità di attenzione all'interno delle più popolari riviste, blog e siti Web IT, il loro fascino sessuale è spesso servito a mettere in ombra un'area all'interno del settore IT che è forse la spina dorsale di tutte le comunicazioni Internet: il Border Gateway Protocol (BGP). A quanto pare, questo semplice protocollo è aperto allo sfruttamento e tentare di proteggerlo non sarebbe una piccola impresa. (Per ulteriori informazioni sulle minacce tecnologiche, consultare Software dannoso: worm, trojan e bot, oh mio!)


Che cos'è BGP?

Il Border Gateway Protocol è un protocollo gateway esterno che in sostanza instrada il traffico da un sistema autonomo (AS) a un altro sistema autonomo. In questo contesto, "sistema autonomo" si riferisce semplicemente a qualsiasi dominio su cui un provider di servizi Internet (ISP) abbia autonomia. Pertanto, se un utente finale fa affidamento su AT&T come suo ISP, apparterrà a uno dei sistemi autonomi di AT&T. La convenzione di denominazione per un dato AS molto probabilmente avrà un aspetto simile a AS7018 o AS7132.

BGP si affida a TCP / IP per mantenere le connessioni tra due o più router di sistema autonomi. Ha guadagnato una grande popolarità negli anni '90, quando Internet stava crescendo a un ritmo esponenziale. Gli ISP avevano bisogno di un modo semplice per instradare il traffico verso nodi all'interno di altri sistemi autonomi e la semplicità di BGP gli ha permesso di diventare rapidamente lo standard di fatto nel routing tra domini. Pertanto, quando un utente finale comunica con qualcuno che utilizza un diverso ISP, tali comunicazioni avranno attraversato almeno due router abilitati per BGP.


Un'illustrazione di uno scenario BGP comune può far luce sulla meccanica reale di BGP. Supponiamo che due ISP stipulino un accordo per instradare il traffico da e verso i rispettivi sistemi autonomi. Una volta che tutti i documenti sono stati firmati e i contratti sono stati approvati dai rispettivi beagle legali, le comunicazioni effettive vengono trasferite agli amministratori di rete. Un router abilitato per BGP in AS1 avvia la comunicazione con un router abilitato per BGP in AS2. La connessione viene avviata e gestita tramite la porta TCP / IP 179 e poiché si tratta di una connessione iniziale, entrambi i router si scambiano le tabelle di routing tra loro.

All'interno delle tabelle di routing, vengono mantenuti i percorsi per ogni nodo esistente all'interno di un determinato AS. Se un percorso completo non è disponibile, viene mantenuto un percorso verso il sistema sub-autonomo appropriato. Una volta che tutte le informazioni pertinenti sono state scambiate durante l'inizializzazione, si dice che la rete è convergente e ogni comunicazione futura comporterà aggiornamenti e comunicazioni che sono ancora vive.

Abbastanza semplice vero? È. Ed è proprio questo il problema, perché è proprio questa semplicità che ha portato ad alcune vulnerabilità molto inquietanti.

Perchè dovrebbe interessarmi?

Va tutto bene, ma che effetto ha su qualcuno che usa il proprio computer per giocare ai videogiochi e guardare Netflix? Una cosa che ogni utente finale dovrebbe tenere a mente è che Internet è molto sensibile all'effetto domino, e BGP gioca un ruolo importante in questo. Se eseguito correttamente, l'hacking di un router BGP potrebbe comportare la negazione del servizio per un intero sistema autonomo.

Supponiamo che il prefisso dell'indirizzo IP per un determinato sistema autonomo sia 10.0.x.x. Il router abilitato BGP all'interno di questo AS annuncia questo prefisso ad altri router abilitati BGP all'interno di altri sistemi autonomi. Ciò è in genere trasparente per le migliaia di utenti finali all'interno di un determinato AS, poiché la maggior parte degli utenti domestici è spesso isolata dagli eventi a livello di ISP. Il sole splende, gli uccelli cantano e il traffico di Internet canticchia. La qualità delle immagini di Netflix, YouTube e Hulu è assolutamente incontaminata e la vita digitale non è mai stata migliore.

Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita

Non puoi migliorare le tue capacità di programmazione quando a nessuno importa della qualità del software.

Supponiamo ora che un individuo malvagio all'interno di un altro sistema autonomo inizi a pubblicizzare la propria rete come proprietario del prefisso dell'indirizzo IP 10.0.x.x. A peggiorare le cose, questo cattivo della rete pubblicizza che il suo spazio degli indirizzi 10.0.x.x ha un costo inferiore rispetto al legittimo proprietario di detto prefisso. (Per costo, intendo meno salti, più produttività, meno congestione, ecc. Le finanze sono irrilevanti in questo scenario). All'improvviso, tutto il traffico diretto alla rete dell'utente finale viene improvvisamente deviato su un'altra rete, e non c'è molto che un ISP possa fare per impedirlo.

Uno scenario molto simile a quello appena menzionato si è verificato l'8 aprile 2010, quando un ISP in Cina pubblicizzava qualcosa lungo le linee di 40.000 rotte fasulle. Per ben 18 minuti, quantità indicibili di traffico Internet sono state dirottate verso il sistema autonomo cinese AS23724. In un mondo ideale, tutto questo traffico mal indirizzato sarebbe stato all'interno di un tunnel VPN crittografato, rendendo così gran parte del traffico inutile per la parte intercettante, ma è sicuro di dire che questo non è un mondo ideale. (Ulteriori informazioni sulla VPN nella rete privata virtuale: la soluzione delle filiali.)

Il futuro della BGP

Il problema con BGP è anche il suo più grande vantaggio: la sua semplicità. Quando BGP ha iniziato a prendere piede tra i vari ISP in tutto il mondo, non si è pensato molto a concetti come riservatezza, autenticità o sicurezza generale. Gli amministratori di rete volevano semplicemente comunicare tra loro. L'Internet Engineering Task Force continua a condurre studi sulle soluzioni per le molte vulnerabilità all'interno di BGP, ma tentare di proteggere un'entità decentralizzata come Internet non è una piccola impresa e i milioni di persone che attualmente utilizzano Internet potrebbero semplicemente tollerare sfruttamento occasionale della BGP.